In letzter Zeit wird in Twitter viel über Datenschutz, Datensicherheit und Datenmissbrauch. Dabei werden verschiedene Extrempositionen aufgemacht, die ich problematisch halte.

Schwierig ist insbesondere, wenn Extrempositionen gegeneinander ausgespielt werden, wie z.B. hier. Auf der einen Seite die “sichere Cloud”, auf der anderen Seite der Schulserver im Keller.

Die erste Gefahr für Sicherheit ist natürlich immer der Faktor Mensch - so weit stimme ich der Aussage zu und die ist in IT-Kreisen auch absolut unstrittig. Die Schlussfolgerung, dass man daher auf eine sichere Cloud verwenden müsse, muss man aber etwas genauer anschauen:

Was bedeutet “Cloud” im Internet?

Als erstes erstmal ein Server, auf dem Daten gespeichert werden. Wie sicher der Server ist, ist für uns Außenstehende nicht leicht zu beurteilen. Aus den Hacks und Leaks der letzten Jahre (PSN-Netzwerk, Facebook, …) sollte aber jedem klar sein, dass alleine die Tatsache, dass Daten bei großen Unternehmen sicher liegen, noch keine Garantie für Datensicherheit ist. Im Falle von US-Clouds sind diese sogar unsicher per Gesetz: Sämtliche Daten auf von US Firmen betriebenen Servern dürfen vom amerikanischen Staat abgehört werden und diese Abhörgesuche dürfen auch nicht an die Öffentlichkeit kommuniziert werden.

Man kann jetzt natürlich mit der Wahrscheinlichkeit argumentieren, mit der Schülerdaten von einem ausländischen Staat abgefragt werden. Auf der anderen Seite geben wir auch ein Stück Souveränität auf, wenn wir uns hier in eine Abhängigkeit begeben, weil wir uns selbst keine IT-Kompetenz zutrauen. Im Gegenteil sollte es das Ziel eines Staates (und auch eines Bildungswesens) sein, IT-Kompetenz aufzubauen um in der Lage zu sein, seine eigenen sensiblen Daten zu verwalten.

Die Gegenüberstellung zur im Keller administrierten Schulcloud ist aber natürlich genauso sinnlos und wird auch von niemandem mit gesundem Verstand so gefordert. Sinnvoller ist es, sowohl technische, als auch organisatorische Anforderungen an Clouds mit Schülerdaten zu stellen, z.B. in folgender Form:

  • Sämtliche online gespeicherten Schülerdaten müssen auf Clouds liegen, die folgenden Kriterien entsprechen:
    • Die Server und Software muss von Profis verwaltet werden. Nicht von Lehrern mit ein paar Entlastungsstunden, die meist andere Sorgen haben.
    • Kein fremder Staat darf per Gesetz entgegen unseres Datenschutzes Schülerdaten abgreifen .
    • Die Daten müssen prinzipiell Ende-zu-Ende verschlüsselt sein.
    • Die Server und Organisation des Datenzugriffs muss in regelmäßigen Audits von unabhängigen Sicherheitsprüfern geprüft werden. Dies sollte gelten sowohl für die technische Ebene, als auch für den Faktor Mensch.
    • Im besten Fall möglichst dezentral, auf unterschiedlichen technischen Infrastrukturen gelagert werden, so dass bei einem Hack nicht gleich das komplette Bildungswesen blank zieht. Dies entspricht auch einer einfachen Logik: Umso wertvoller der Schatz, umso mehr lohnt es sich auch in gut gesicherte Systeme einzubrechen.
    • Organisatorisch sollte darauf hingewirkt werden, das Rad nicht jedes mal neu zu erfinden, sondern bestehende und anerkannte Lösungen für Probleme wiederzuverwenden (An diesem Punkt scheitern zur Zeit diverse von den Ländern produzierten Clouds)
    • …und prinzipiell sollten sensible Daten sowieso möglichst wenig online verwaltet werden, Stichwort Datensparsamkeit.

Einen solchen Kriterienkatalog auszuarbeiten halte ich für sinnvoller, als die Clouds der großen Anbieter gegen den selbst administrierten Rechner im Keller gegeneinander auszuspielen. Das Ziel sollte langfristig ja sein, eine in allen Punkten sowohl aus Datenschutz- als auch Datensicherheitsperspektive möglichst unproblematische IT-Infrastruktur zu schaffen. Dies geht meiner Meinung nach langfristig nur, wenn wir sowohl auf IT-Kompetenz setzen, diese fördern als auch Abhängigkeiten vermeiden.